Un nuevo grupo de ciberdelincuentes ha sido identificado como responsable de una serie de ataques dirigidos contra organismos gubernamentales y fuerzas de seguridad en el sudeste asiático, aprovechándose de una grave vulnerabilidad en WinRAR.

Según la empresa de ciberseguridad Check Point, este actor malicioso está explotando el fallo CVE-2025-8088, una vulnerabilidad que permite escribir archivos maliciosos en ubicaciones arbitrarias del sistema Windows mediante el abuso de la función Alternate Data Streams.

Al parecer, desde mediados del año pasado este fallo ha sido utilizado como zero-day por múltiples actores para lograr persistencia, principalmente colocando malware en la carpeta de inicio del sistema. Una de las características más llamativas de estas campañas es que los atacantes combinan herramientas legítimas con un cargador personalizado, conocido como Amaranth Loader, que descarga cargas útiles cifradas desde servidores de mando y control ocultos tras infraestructura de Cloudflare.